Madrid acogió hace unos días el XVI Foro de la Privacidad, que rindió homenaje a Jesús Rubí, por sus 25 años en la AEPD.

A lo largo de su historia, el Data Privacy Institute (DPI) se ha convertido en el primer vertical que puso en marcha ISMS Forum, Asociación que surgió en 2007 como punto de encuentro de los profesionales de la seguridad y que ha creado una comunidad estable de Delegados de Protección de Datos (DPD).

Esta entidad está especializada en materia de privacidad. “Vimos que el desarrollo de la seguridad de información tenía muchos aspectos relacionados con la protección de datos”, indica Carlos Saiz, director del DPI y vicepresidente de ISMS Forum.

Después de esta iniciativa han seguido otras “alguna relacionada con cloud; los temas de movilidad y cuestiones de ciberseguridad. Ahora estamos trabajando en lanzar al mercado el Grupo de Inteligencia Artificial (GIA). Al final la especialización temática es fundamental para abordar cuestiones clave”.

De la mano del DPI viene como evento de referencia y cita ineludible del sector el Foro de la Privacidad que este año cumplió su XVI Edición. En esta ocasión, el evento tuvo dos paneles simultáneos, uno sobre tendencias relacionadas con la privacidad y otro sobre buenas prácticas que ayudarán a conocer mejor la situación de la protección de datos en nuestro país.

Carlos A. Saiz, durante el congreso.

Saiz recuerda que “en este evento rendimos homenaje a Jesús Rubí, pieza clave en estos últimos veinticinco años en materia de protección de datos dentro de la Agencia Española de Protección de Datos. Su labor ha sido clave en distintos puestos del regulador como elemento de unión entre el mundo empresarial y el de la propia AEPD. Un homenaje, sin duda, merecido a toda una gran trayectoria”.

Sobre esta XVI Edición el director del DPI explica que “uno de los temas interesantes de este foro tuvo que ver en cómo integrar las nuevas obligaciones del Reglamento de IA con las obligaciones y el marco legal que ya conocemos del RGPD europeo que van a estar muy vinculadas. Muchos de los sistemas de IA utilizan datos personales, habrá que ver como se gestionan”.

Al mismo tiempo destaca que “hubo otro bloque de ponencias que se centraron  en la normativa que llega en materia de ciberseguridad como NIS2, Dora o la Directiva CERT, que vienen a implantar o imponer nuevos requisitos regulatorios a las entidades. Hablamos entonces sobre cómo se relacionan con la norma básica en materia de privacidad que es el RGPD. Es abordar el llamado Cyber Compliance, el entorno normativo de la ciberseguridad y la nueva presión regulatoria que hay”.

El director del DPI también nos comenta que en este XVI Foro de la Privacidad “hay otros temas completos donde analizamos los problemas de la privacidad en el entorno digital; de la publicidad y cookies; todo este entorno nuevo y que también aparecen afectados por las nuevas directivas de servicios digitales como son la DSA y la DMA, entre otras cuestiones”.

Mar España (AEPD), Daniel García (ISMS Forum), Jesús Rubí (AEPD) y Carlos A. Saiz (ISMS Forum) durante el homenaje a Jesús Rubí.

Nuevo Comité Operativo del DPI

El evento fue el marco de presentación del nuevo Comité Operativo del DPI que ahora se reactiva formado por Montse Carrera, Manager para Europa de Pepsico; Henry Velasquez; Global Data Privacy Office (GDPO) South EU & LATAM,  Publicis Group;  Esmeralda Saracíbar  Attorney, Partner of Governance, Risk & Compliance, Ecix Group; y  Monica Rejas, DPO de Grupo Correos.

Desde su punto de vista de Saiz “son personas de absoluta solvencia en esta materia de la protección de datos y están vinculados desde hace años a ISMS Forum. Creemos que pueden aportar sus ideas y experiencias en todas estas tendencias donde la privacidad está inmersa. Queremos que este Comité sea parte clave de la estrategia del DPI, como entidad que aglutina todo lo relacionado con la privacidad en ISMS Forum”.

En el transcurso de estas jornadas, se presentó el informe que hace el DPI  desde su Observatorio tras la encuesta realizada a los Delegados de Protección de Datos (DPD) vinculados a esta entidad. Sobre las preocupaciones de estos profesionales en su quehacer diario, Saiz avanza algo de ello en esta entrevista “la primera preocupación es sobre el papel que van a tener los DPO ante la llegada a las empresas de la normativa y tecnología de IA”.

A este respecto, subraya que “las obligaciones que establece este Reglamento de IA, muchas de ellas se parecen o tienen una forma de expresarse parecida al RGPD. Habrá que ver qué profesional aterriza este nuevo cumplimiento normativo a las empresas. El Reglamento de IA no dice nada específico y podrían ser los propios DPD quienes se encargasen de ese tema”.

Otra de las cuestiones que preocupan a los DPD “tiene que ver con el régimen sancionador de los reguladores, ahora son millonarias y la propia AEPD está muy activa en esta cuestión. Esta es una cuestión de diálogo del propio DPD y la dirección general de cada compañía. Y otro tema que llama la atención de la encuesta tiene que ver con la necesidad de que estos profesionales cuenten con más medios para realizar su trabajo”.

Los DPD necesitan más medios

De la citada encuesta se desprende que “es fundamental que estos profesionales cuenten con más medios. Los DPD necesitan para realizar su trabajo, equipo, presupuesto o tecnología para realizar un buen sistema de cumplimiento dentro de la empresa. Vemos que hay muchos DPD que les falta alguno de estos elementos. Ahora el cumplimiento en materia de privacidad es más exigente, eso requiere tener expertise, personas y tecnología”.

En este contexto, los expertos como Carlos Saiz se remiten al compliance digital como solución para afrontar estos nuevos retos regulatorios. “Los que ya llevamos años trabajando en esto nos hemos dando cuenta de la evolución del entorno normativo, ahora bastante complejo. Ahora se regulan las cookies, la publicidad, los datos personales, los servicios esenciales, la resiliencia operativa, la ciberseguridad o el teletrabajo. Todo el entorno digital ya tiene una regulación y va a más”.

Desde esta perspectiva, cree que es el momento de que “las empresas incorporen su modelo de compliance y el llamado compliance digital para evaluar muy bien los riesgos normativos y para poder establecer cuáles son los controles que se deben implementar en una organización. Eso hace que el compliance digital sea necesario y se convierta en un pilar estratégico para las empresas en su tarea de cumplimiento en materia de privacidad”.

El director del DPI recuerda que hay dos criterios fundamentales a tener en cuenta. “Uno es el privacy by design, incluir los aspectos de privacidad desde que se define un proceso digital en una organización, por ejemplo un banco que quiera vender un nuevo servicio financiero que sepa que normativa debe cumplir desde que diseña dicho servicio, y el segundo es la accountability, capacidad de hacer una trazabilidad de lo que hemos hecho para cumplir con todo ello”.

El papel clave del DPD en la IA

Desde su punto de vista, “muchos de los sistemas de IA que impulsan las compañías se basan en datos personales. El alimento de lo que aprende esa IA y los resultados que entrega tras su proceso tecnológico interno implica datos personales, por lo tanto, ambas cosas van a estar muy conectadas”.

Al mismo tiempo “las obligaciones de ambas actividades son muy parecidas. Obligan a realizar análisis de riesgos en sistemas de IA que tengan mas riesgo, junto a ello será obligatorio generar formación y concienciación a todos los empleados de la compañía”, subraya.

Además “hay que conocer a los proveedores y hacer procesos de diligencia debida y de homologación de proveedores cuando utilicen IA.  También deberá existir un marco de supervisión y de auditoría, así como la gestión de las brechas si tienen detrás IA. Habrá que ver quien figura todas estas obligaciones”.

Y es que “el nuevo Reglamento de IA no regula una figura específica que se haga cargo de estas obligaciones, habrá que ver quién las implanta en cada entidad. Desde esta perspectiva, los DPD son profesionales bastante preparados para enfrentarse a esta nueva realidad, por todo lo que hacen en materia de privacidad.  Y es posible que sean pieza clave para cumplir con las obligaciones del Reglamento de IA”.